Créer et utiliser un principal de service pour déployer un cluster Azure Red Hat OpenShift
Pour interagir avec les API Azure, un cluster Azure Red Hat OpenShift nécessite un principal de service Microsoft Entra. Ce principal de service permet de créer, de gérer et de consulter dynamiquement d’autres ressources Azure, par exemple un équilibreur de charge ou un registre Azure Container Registry (ACR). Pour plus d’informations, consultez Objets d’application et du principal de service dans Microsoft Entra ID.
Cet article explique comment créer et utiliser un principal de service pour déployer vos clusters Azure Red Hat OpenShift à l’aide de l’interface de ligne de commande Azure (Azure CLI) ou du portail Azure.
Remarque
Les principaux de service expirent au bout d’un an, à moins qu’ils ne soient configurés pour des périodes plus longues. Pour plus d’informations sur l’extension de la période d’expiration de votre principal de service, consultez Renouvellement des informations d’identification du principal de service d’un cluster Azure Red Hat OpenShift (ARO).
Créer et utiliser un principal de service
Les sections suivantes expliquent comment créer et utiliser un principal de service pour déployer un cluster Azure Red Hat OpenShift.
Prérequis – Azure CLI
Si vous utilisez Azure CLI, la version 2.30.0 ou une version plus récente doit être installée et configurée. Exécutez az --version
pour trouver la version. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.
Créer un groupe de ressources - Azure CLI
Exécutez la commande d’interface de ligne de commande Azure suivante pour créer un groupe de ressources dans lequel résidera votre cluster Azure Red Hat OpenShift.
AZ_RG=$(az group create -n test-aro-rg -l eastus2 --query name -o tsv)
Créer un principal de service et attribuer un contrôle d’accès en fonction du rôle (RBAC) - Azure CLI
Pour affecter le rôle de contributeur et définir l’étendue du principal de service sur le groupe de ressources Azure Red Hat OpenShift, exécutez la commande suivante.
# Get Azure subscription ID
AZ_SUB_ID=$(az account show --query id -o tsv)
# Create a service principal with contributor role and scoped to the Azure Red Hat OpenShift resource group
az ad sp create-for-rbac -n "test-aro-SP" --role contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
Remarque
Les principaux de service doivent être uniques par cluster Azure RedHat OpenShift (ARO).
Le résultat ressemble à l’exemple suivant :
{
"appId": "",
"displayName": "myAROClusterServicePrincipal",
"name": "http://myAROClusterServicePrincipal",
"password": "yourpassword",
"tenant": "yourtenantname"
}
Important
Ce principal de service n’accorde des autorisations au contributeur que sur le groupe de ressources dans lequel se trouve le cluster Azure Red Hat OpenShift. Si votre réseau virtuel se trouve dans un autre groupe de ressources, vous devez également attribuer le rôle Contributeur du principal de service à ce groupe de ressources. Vous devez également créer votre cluster Azure Red Hat OpenShift dans le groupe de ressources que vous avez créé ci-dessus.
Pour accorder des autorisations à un principal de service existant avec le Portail Azure, consultez Créer une application Microsoft Entra et un principal de service dans le portail.
Création d’un principal de service avec le Portail Azure
Pour créer un principal de service pour votre cluster Azure Red Hat OpenShift via le Portail Azure, consultez Utiliser le portail pour créer une application Microsoft Entra et un principal de service pouvant accéder aux ressources. Veillez à enregistrer l’ID d’application (client) et le secret.